27.05.2020

So schützen Sie den Zutritt zum Serverraum

Der Trend hin zu Cloud Computing darf nicht darüber hinwegtäuschen, dass es weiterhin Serverräume gibt, die eine umfassende Zutrittskontrolle benötigen. Aber mit Brandmeldeanlage, USV und Klimatisierung ist es nicht getan. In manchen Unternehmen befinden sich die Maßnahmen zur Kontrolle der Zutritte leider noch auf dem Stand einer besseren Bürotür.

Der Serverraum benötigt auch im Cloud-Zeitalter Zutrittskontrolle

Der Serverraum bleibt, die Zutrittskontrolle auch

Neue Entwicklungen lassen manchmal falsche Schlüsse zu. Im Fall des Serverraums gilt das gleich doppelt:

  • Zum einen scheinen Serverräume in Zukunft kaum noch eine Rolle zu spielen. Setzen doch immer mehr Unternehmen auf die Cloud.
  • Zum anderen könnte man auf die Idee kommen, dass Schutzmaßnahmen wie die Zutrittskontrolle nicht mehr im Fokus stehen. Immerhin findet sich der Begriff nicht unter den Sicherheitsmaßnahmen, die die Datenschutz-Grundverordnung (DSGVO) nennt.

Beide Annahmen sind falsch:

  • Im Artikel 32 DSGVO (Sicherheit der Verarbeitung) findet man „(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“ Dabei ist unter „Zugang zu personenbezogenen Daten“ auch der Zutritt zu den Datenverarbeitungs-Anlagen zu verstehen.
  • Der Serverraum, für den die Zutrittskontrolle so wichtig ist, bleibt bestehen. Es verlagert sich nämlich nicht die ganze IT in die Cloud, sondern nur bestimmte Teile. Der wahre Trend heißt hybrides Cloud Computing, eine Mischung aus lokaler IT und Cloud.

Prüfen Sie deshalb als Datenschutzbeauftragte oder Datenschutzbeauftragter, ob die Zutrittskontrolle für den Serverraum (noch) den Stellenwert hat, den sie haben muss – auch wenn der Begriff selbst in der DSGVO so nicht mehr auftaucht.

Die Praxis zeigt: Viele Sensoren, kaum Kontrolle

Wer einen genaueren Blick in den Serverraum wirft, kann dort meist hochwertige Klimaanlagen, Notstrom-Systeme und eine Vielzahl an Sensoren bewundern. Sie messen die Temperatur, die Luftfeuchtigkeit und die Staubdichte.

Keine Frage, all diese Vorkehrungen sind wichtig, um einen Serverausfall zu verhindern. Aber Unternehmen vernachlässigen die Zutrittskontrolle leider oft sträflich.

Neben der Überwachung der physikalischen Parameter im Serverraum sind Sensoren wichtig, die einen unerlaubten Zutritt melden. Schließlich geht es darum, Schäden an der Hardware sowie einen Missbrauch und Diebstahl personenbezogener Daten zu verhindern.

Wünschenswert sind deshalb

  • Bewegungsmelder innerhalb des Serverraums,
  • Öffnungssensoren an den Serverrack-Türen sowie
  • Sensoren, die einen Glasbruch an den Scheiben des Serverraums melden, sofern es dort Fenster gibt.

Serverraum ist kein Allzweckraum

Leider entwickeln sich manche Serverräume zu Lagerstätten für Druckerpapier oder beherbergen zusätzlich das Faxgerät und den Großdrucker.

Unter diesen Umständen lässt sich eine Zutrittsregelung, die den Zugang zum Serverraum ausschließlich für die Administratoren vorsieht, nicht umsetzen. Der Kreis der Personen, die in den Serverraum wollen oder müssen, wird viel zu groß.

Ebenso sollten keine Materialien in Serverräumen gelagert werden, die die Brandgefahr erhöhen.

Achtung: Nicht alle Server in einen Raum

Zudem gebieten es nicht nur Redundanz und Ausfallsicherheit, dass nicht alle Server in einem Raum stehen.

Externe dürfen darüber hinaus die Wartung im Serverraum nur dann durchführen, wenn einer der eigenen Systemadministratoren die Vorgänge überwachen kann.

Problematisch ist die Reinigung des Serverraums. Das Reinigungspersonal ist in vielen Fällen unbeobachtet tätig. Achten Sie auf gesonderte Reinigungszeiten, zu denen die Administratoren anwesend sind.

Zutrittskontrolle umsetzen: Mechanische Schlüssel oder RFID-Chip?

Die gesamte Zutrittskontrolle zum Serverraum steht und fällt jedoch damit, wie der Zutritt durch die Türen geregelt wird.

Wer die Sicherheit steigern möchte, kann die elektronischen Schließsysteme mit einer zentralen Überwachungseinheit vernetzen. Dann melden die elektronischen Türschlösser nicht nur den Versuch einer unerlaubten Öffnung. Sie geben auch eine Warnung aus, wenn die Stromversorgung für den Schließmechanismus in Gefahr ist.

Geht ein Ausweis-Chip verloren, lässt sich der Ausweis zentral für den Zutritt sperren.

Bei mechanischen Systemen und elektronischen Schlössern ohne Vernetzung ist es deutlich aufwendiger, den Verlust eines Schlüssels oder RFID-Chips zu beheben. Dann müssen entweder die Schlösser ausgetauscht oder jede einzelne Tür umprogrammiert werden.

Allerdings sind auch vernetzte, zentral überwachte Türschloss-Systeme über das Netzwerk angreifbar. Empfehlen Sie, mindestens zwei Faktoren zu verwenden, um den Zutritt zu regeln:

  • So lässt sich der Ausweis-Chip mit einem PIN-Code verknüpfen, um die Tür zu öffnen.
  • Auch ein Fingerabdruck-Scanner oder andere biometrische Verfahren helfen, den Zutritt zum Serverraum sicherer zu machen.

Nutzen Sie am besten zusätzlich die Checkliste, um den Schutz für den Serverraum unter die Lupe zu nehmen.


Download: Checkliste Schutz für den Serverraum


Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)